使用贝叶斯网络来识别0day攻击路径

栏目: 编程工具 · 发布时间: 5年前

内容简介:原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

作者: {Esi}@ArkTeam

原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen

原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

原文出处:IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521.

执行各种安全措施(例如入侵检测系统等)可以为计算机网络提供一定程度的保护。但是面对0day攻击,这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称,检测0day攻击仍然是一个挑战。为了更好的检测0day攻击,我们认为在攻击路径上进行检测是一种更加可行的策略,0day攻击路径可以认为是整个攻击路径中包含一个或多个0day攻击。这样认为的原因是攻击者很难确保攻击路径上的所有攻击都是0day攻击,因此可以做出以下假设:

1)可以通过某种方式检测非0day攻击,例如通过入侵检测系统等;

2)可检测的非0day攻击与0day攻击具有一定的链接关系。

在本文中,我们提出了一种概率方法,并实现了原型系统ZePro,用于0day攻击路径识别。在本文的方法中,0day攻击路径本质上是一个图。为了捕获零日攻击,首先通过分析系统调用使用对象实例来构建超图。为了进一步揭示隐藏在超图中的0day攻击路径,我们的系统基于实例图构建贝叶斯网络。通过将入侵证据作为输入,贝叶斯网络能够计算出被感染的对象实例的概率。通过依赖关系连接高概率的实例形成一条路径,即0day攻击路径。

使用贝叶斯网络来识别0day攻击路径

图1系统架构

本文的主要贡献有以下四点:

  • ZePro是第一个采用概率方法来进行0day攻击路径识别的研究。

  • 提出了构建网络范围超图,然后确定隐藏在其中的零日攻击路径。

  • 第一次通过引入对象实例图来构建OS级别的贝叶斯网络。

  • 设计并实现了ZePro,可以有效地自动识别0day攻击路径。

为了进行实验评估,我们构建了一个网络商店测试平台,以模拟小规模的真实企业网络,如图2的攻击场景,整个实验分为了3步进行:

  1. 攻击者利用漏洞CVE-2008-0166通过暴力密钥猜测攻击获得SSH服务器的root权限。

  2. 由于NFS服务器上的导出表未正确设置,攻击者可以将恶意可执行文件上传到NFS上的公共目录。恶意文件包含可以利用特定工作站上的漏洞的特洛伊木马程序。公共目录在测试台网络中的所有主机之间共享,以便工作站可以访问和下载此恶意文件。

  3. 一旦恶意文件被安装并安装在工作站上,攻击者就能够在工作站上执行任意代码。

使用贝叶斯网络来识别0day攻击路径

图2 攻击场景

由于通常很难获得0day漏洞,我们用已知漏洞来进行模拟。例如,假设当前时间是2008年12月31日,CVE-2009-2692被视为0day漏洞。此外,其他安全漏洞(如NFS上的配置错误)也可视为一种特殊类型的未知漏洞,只要这些漏洞不被漏洞扫描程序扫描到即可。

实验结果表明ZePro能够重建攻击故事情节,例如攻击如何发生,访问了哪些文件,以及引发的警报是否具有相关性等,本文方法的一个优点是,即使没有为特定漏洞提供证据,所识别的路径也提供了揭示隐藏漏洞的上下文。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

有的放矢

有的放矢

Nathan Furr、Paul Ahlstrom / 七印部落 / 华中科技大学出版社 / 2014-4-20 / 38.00元

创业需要大笔资金吗?自信的人适合创业吗?好点子究竟来自哪里?《有的放矢:NISI创业指南》的两位作者拥有多年创业与投资经验,收集了大量的一手案例和资料,提出有的放矢创业流程,帮助创业者规避创业风险,提高创业成功率。一起来看看 《有的放矢》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具